Page 45 - 《软件学报》2025年第10期

P. 45

4442 软件学报 2025 年第 36 卷第 10 期

议的数据传输时间大致相同, 握手时间的差异主要来自它们不同的计算性能.

6 总结

Kyber 是一个基于格上困难问题的密钥封装机制 (KEM), 在 2023 年被美国国家标准与技术研究院 (NIST) 宣
布为第 1 个被标准化的 KEM. Kyber-AKE 是 Kyber 的设计者基于 Kyber KEM 构造的弱前向安全的认证密钥交
换 (AKE), 通过使用 3 个 IND-CCA 安全的 KEM 在两轮内协商会话密钥,
在本文中, 我们介绍了 Kyber-PFS-AKE, 这是一种新的 AKE 构造方法. Kyber-PFS-AKE 只使用了 IND-CPA
安全的公钥加密 (PKE) 方案, 从而简化了后量子 Kyber-AKE 的设计. 我们严格证明了基于 IND-CCA KEM 的 Kyber-
AKE 协议中某些操作是冗余的. 去除这些冗余后, 协议变得更加简化和高效. 通过仅使用具有被动安全性的 PKE,
并通过 FO 变换中的类似技术处理被动安全的 PKE 的解密错误. 我们在 eCK-PFS-PSK 模型下证明了 Kyber-PFS-
AKE 的会话密钥不可区分性质, 以及完美的前向安全性等安全性质. 根据 eCK-PFS-PSK 模型的定义, 以及清洁谓
词的要求, 保证了 Kyber-PFS-AKE 协议的完美前向安全性. 通用的从 IND-CPA 安全的 AKE 构造框架是无法做到
完美的前向安全性的. 我们使用量子安全为 165 比特的 Kyber-768. PKE 实现了 Kyber-PFS-AKE. 我们的实验结果
表明, 与 Kyber-PFS-AKE 相比, 我们的构造使得协议发起者的计算时间上降低了 38%, 在响应者计算时间上降低
了 30%.

References:
[1] NIST. Call for proposals. 2017. https://csrc.nist.gov/Projects/post-quantum-cryptography/post-quantum-cryptography-standardization/
Call-for-Proposals
[2] Bos J, Ducas L, Kiltz E, Lepoint T, Lyubashevsky V, Schanck JM, Schwabe P, Seiler G, Stehlé D. CRYSTALS-Kyber: A CCA-secure
module-lattice-based KEM. In: Proc. of the 2018 IEEE European Symp. on Security and Privacy (EuroS&P). London: IEEE, 2018.
353–367. [doi: 10.1109/EuroSP.2018.00032]
[3] Alagic G, Apon D, Cooper D, Dang Q, Dang T, Kelsey J, Lichtinger J, Miller C, Moody D, Peralta R, Perlner R, Robinson A, Smith-
Tone D, Liu YK. Status report on the third round of the NIST post-quantum cryptography standardization process. US Department of
Commerce, NIST, 2022.
[4] Narisada S, Uemura S, Okada H, Furue H, Aikawa Y, Fukushima K. Solving McEliece-1409 in one day—Cryptanalysis with the
improved BJMM algorithm. In: Proc. of the 27th Int’l Conf. on Information Security. Arlington: Springer, 2025. 3–23. [doi: 10.1007/978-
3-031-75764-8_1]
[5] Fujioka A, Suzuki K, Xagawa K, Yoneyama K. Strongly secure authenticated key exchange from factoring, codes, and lattices. In: Proc.
of the 15th Int’l Conf. on Practice and Theory in Public Key Cryptography. Darmstadt: Springer, 2012. 467–484. [doi: 10.1007/978-3-642-
30057-8_28]
[6] Canetti R, Krawczyk H. Analysis of key-exchange protocols and their use for building secure channels. In: Proc. of the 2001 Int’l Conf.
on the Theory and Application of Cryptographic Techniques. Innsbruck: Springer, 2001. 453–474. [doi: 10.1007/3-540-44987-6_28]
[7] Dowling B, Paterson KG. A cryptographic analysis of the WireGuard protocol. In: Proc. of the 16th Int’l Conf. on Applied Cryptography
and Network Security. Leuven: Springer, 2018. 3–21. [doi: 10.1007/978-3-319-93387-0_1]
[8] Håstad J. Solving simultaneous modular equations of low degree. SIAM Journal of Computing, 1988, 17(2): 336–341. [doi: 10.1137/
0217019]
[9] D’Anvers JP, Karmakar A, Roy SS, Vercauteren F, et al. Saber: Mod-LWR based KEM algorithm specification and supporting
documentation. 2019. https://www.esat.kuleuven.be/cosic/pqcrypto/saber/
[10] Duman J, Hövelmanns K, Kiltz E, Lyubashevsky V, Seiler G. Faster lattice-based KEMs via a generic Fujisaki-Okamoto transform using
prefix hashing. In: Proc. of the 2021 ACM SIGSAC Conf. on Computer and Communications Security. Springer, 2021. 2722–2737. [doi:
10.1145/3460120.3484819]
[11] Hülsing A, Ning KC, Schwabe P, Weber FJ, Zimmermann PR. Post-quantum WireGuard. In: Proc. of the 2021 IEEE Symp. on Security
and Privacy (SP). San Francisco: IEEE, 2021. 304–321. [doi: 10.1109/SP40001.2021.00030]
[12] Paquin C, Stebila D, Tamvada G. Benchmarking post-quantum cryptography in TLS. In: Proc. of the 11th Int’l Conf. on Post-quantum
Cryptography. Paris: Springer, 2020. 72–91. [doi: 10.1007/978-3-030-44223-1_5]
[13] Sosnowski M, Wiedner F, Hauser E, Steger L, Schoinianakis D, Gallenmüller S, Carle G. The performance of post-quantum TLS 1.3. In:

40 41 42 43 44 45 46 47 48 49 50